Mit dem Open-Source-Tool SAM können Admins die Telemetrie überwachen

Golem.de: 2019 gab es ungefähr 1.000 Messpunkte. Sind es mittlerweile noch mehr?

Stellenmarkt
  1. Teamleiter Informationsmanagement SAP BW (m/w/d)
    Radeberger Gruppe KG, Dortmund, Frankfurt am Main
  2. Softwareentwickler (m/w/d) Legacy Systeme / Sozialwesen
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte
Detailsuche

Winkler: Tatsächlich sind es weniger geworden. Aber davon darf man sich nicht täuschen lassen - weniger Daten werden nämlich nicht gesammelt. Stattdessen sind Messpunkte zusammengelegt worden, das heißt, die einzelnen Messpunkte stellen mehr Informationen zur Verfügung.

Vieles läuft in der Telemetrie mittlerweile über die Konfiguration. Da wird eine Konfigurationsdatei von Microsofts Backend heruntergeladen, die detailliert festlegt, welche Daten eine Telemetriekomponente einsammelt, welche Messpunkte dazugehören. Die Datei kann mehrmals täglich heruntergeladen werden, entsprechend dynamisch ist das alles.

Das individualisiert natürlich auch die Telemetriekonfiguration des einzelnen Rechners. Hier kann Microsoft auch regionsspezifische Konfigurationen vornehmen, um beispielsweise die unterschiedlichen Datenschutzgesetze in den verschiedenen Ländern zu berücksichtigen.

Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    05.-07.09.2022, Virtuell
Weitere IT-Trainings

Golem.de: Eine Erkenntnis Ihrer Untersuchung war, dass Microsoft nicht nur Daten an Hunderten Messpunkten sammelt, sondern in einem zweiten Schritt weitere, spezifische Telemetriedaten anfordern kann. Ist das immer noch so?

Winkler: Diese zweite Phase der Datenerhebung gibt es immer noch. Sie wurde sogar weiter ausgebaut. Das Ganze funktioniert in etwa so: Wenn Microsoft der Meinung ist, dass es zu den bereits erhobenen Telemetriedaten weitere Informationen braucht, werden weitere Daten angefordert. Dazu kann die Telemetriekomponente einerseits Dateien ausführen, die schon auf dem System sind, beispielsweise Abfragen zur Ressourcennutzung.

Andererseits können Funktionen aufgerufen werden, die weitere Daten liefern. Das wurde in den neueren Windows-Versionen deutlich ausgebaut. So kamen beispielsweise neue Funktionen für den Zugriff auf Zertifikate und Schlüsselmaterial des Systems hinzu oder eine neue Funktion kann Informationen zu den Gerätetreibern abrufen. Auch das Aufzeichnen der Ausführung von einzelnen Prozessen ist jetzt möglich.

Insgesamt sind im Vergleich zur Telemetrie unter Windows 10 1607 in der Version 1809 alleine 14 externe Programme für die Ausführung durch die Telemetrie neu hinzugekommen.

Golem.de: Unter Windows 10 1607 konnte man den USB-Messpunkt als Keylogger missbrauchen. Ist das immer noch möglich?

Winkler: Da wird letztlich die technische Funktion des Messpunktes, der die USB-Nachrichten zur Verfügung stellt, genutzt. Bei jedem Tastendruck bekommt dieser eine entsprechende Benachrichtigung - also beispielsweise, dass die Taste A gedrückt wurde. Da kann man sich dann dranhängen und mitlesen, was in Sachen Tastatureingaben gerade passiert. Man kann das also weiterhin als Keylogger nutzen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Was Microsoft an Telemetriedaten erhebt, kann man also gar nicht so genau sagen?

Winkler: Generelle Aussagen, welche Telemetriedaten gesammelt werden, können wir wegen der Dynamik dahinter nicht sagen. Wir können aber sehr genau sagen, welche Telemetriedaten auf einem System gesammelt werden, das wir untersuchen. Für die Analyse haben wir ein Tool geschrieben, das uns detailliert Auskunft darüber gibt. Das Tool haben wir jetzt für die Allgemeinheit veröffentlicht.

Golem.de: Das Tool haben Sie bisher nur intern genutzt. Nun haben Sie es veröffentlicht. Mit ihm können Admins jetzt also selbst nachsehen, was in Sachen Windows-Telemetrie auf dem System passiert?

Winkler: Das Tool heißt System Activity Monitor oder kurz SAM. Es ist ein kleines Kommandozeilenprogramm, mit dem man das Verhalten des Betriebssystems detailliert beobachten kann. Das Tool greift dazu auf das Event Tracing for Windows (ETW) zurück, also die Infrastruktur des Betriebssystems, die von der Windows-Telemetrie genutzt wird.

Dort werden Informationen dazu gesammelt, welche Anwendungen gestartet werden oder wie sie sich verhalten. Auf all diese Informationen kann man mit SAM zugreifen und beispielsweise sehen, welche Informationen die Telemetriekomponente gerade einsammelt, welche sie sendet. Die Software ist letztlich auch die technische Basis für unsere Analysen.

Golem.de: Wie verwende ich SAM?

Winkler: Das Tool kann entweder direkt gestartet und verwendet oder als Dienst genutzt werden. Um das Tool zu verwenden, muss man erst einmal festlegen, was man sehen möchte. Dazu braucht es ein sogenanntes Recording Profile, also eine XML-Datei, in der man festlegt, welche Messpunkte man im Betriebssystem erfassen möchte.

Um die Ergebnisse einzugrenzen, kann man Filter nutzen. Das Tool zeichnet die Ergebnisse standardmäßig im Eventlog auf, es besteht aber auch die Möglichkeit, sie lokal zu sichern. Das kann man dann wiederum an ein Backend wie ELK-Stack anbinden und dann komfortabel auswerten.

Neben dem Tool haben wir aber auch eine Anleitung veröffentlicht, in der man genau nachsehen kann, welche Messpunkte es gibt und wie man sie auswerten und welche Erkenntnisse man daraus ziehen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Telemetrie: Windows hindern, nach Hause zu telefonieren"Wir empfehlen, die Telemetrie komplett abzuschalten" 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


McAndrew 30. Jul 2022 / Themenstart

https://github.com/McAlex777/Datenschutz/releases/tag/Privacy-Script

Sharra 26. Jul 2022 / Themenstart

Nein. Und denkste. Aber ich lass dir deine Meinung. Hat ja jeder ein Recht drauf.

heulendoch 23. Jul 2022 / Themenstart

Habe mir unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit...

1ras 22. Jul 2022 / Themenstart

An dir ist ein Komiker verloren gegangen. Microsoft bietet für alles unter Enterprise...

Kommentieren



Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. Entwicklerstudio: Eidos Montreal möchte Cyberpunk 2077 mit Deus Ex toppen
    Entwicklerstudio
    Eidos Montreal möchte Cyberpunk 2077 mit Deus Ex toppen

    Eidos Montreal würde gerne ein neues Deus Ex machen. Der Plan, damit Cyberpunk 2077 zu übertrumpfen, scheitert aber vorerst an einem Detail.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /